1. 前提说明
- 上一期是:【新提醒】lucky与waf的对接教程 - 攻略分享 飞牛私有云论坛 fnOS 有lucky或者自动证书部署需求的可以去看一下
- 这三者界面会经常变动,如果后期变动导致失去了时效性,建议看完后看下共性说明,大致功能不会变的,界面变了找找就行
- 这三大waf安装不会与飞牛系统产生冲突,用不到修复
- 详细介绍和细节教程要做功能整理,还得晚点
1.1. 三大国产waf免费版功能说明
| 能力清单 |
雷池个人版 |
堡塔免费版 |
南墙免费版 |
| 对比ModSecurity检出概69.74% |
🟡71.65% |
🔴就没写 |
🟡74.77% |
| 对比ModSecurity准确率82.20% |
🟡99.45% |
🔴就没写 |
🟡99.42% |
| Web 攻击防护 |
🟢 支持 |
🟢 支持 |
🟢 支持 |
| 语义分析引擎/机械学习 |
🟢 支持 |
🔴 不支持 |
🔴 不支持 |
| CC 攻击防护 |
🟢 支持(最高共800qps) |
🟢 支持 |
🟢 支持 |
| 支持图形化编写规则 |
🟢 支持 |
🟢 支持 |
🟢 支持 |
| Bot 防护 |
🟢 支持 |
🟢 支持 |
🟢 支持 |
| 动态加密防护 |
🟢 支持 |
🔴 不支持 |
🔴 不支持 |
| 身份统一认证(SSO) |
🟢 支持 |
🔴 就没有 |
🟡需要插件 |
| 是否基于80/443端口 |
🟢 不基于 |
🔴 基于 |
🔴 基于(还基于53) |
| 基于防火墙 |
🟢大概独立开发 |
🟡基于ufw |
🟡基于OpenResty |
| 动态防护快速解密 |
🔴 不支持 |
🟢 支持 |
🔴 不支持 |
| 高级流量统计 |
🔴 不支持 |
🟢 支持 |
🟢 支持 |
| 加强防护规则 |
🔴 不支持 |
🟢 支持 |
🟢 支持 |
| 自定义拦截页面 |
🔴 不支持 |
🔴 不支持 |
🔴 不支持 |
| 应用独立高级配置 |
🔴 不支持 |
🟢 支持 |
🟢 支持 |
| 高级限频配置 |
🔴 不支持 |
🔴 不支持 |
🔴 不支持 |
| 基于地理位置的拦截 |
🔴 不支持 |
🟡 支持境内/境外设置 |
🟡仅可设置是否非大陆 |
| 负载均衡 |
🔴 不支持 |
🟢 支持 |
🟢 支持 |
| 主从配置同步 |
🔴 不支持 |
🔴 不支持 |
🔴 不支持 |
| 是否支持dns申请证书 |
🔴 不支持 |
🟢 支持 |
🟢 支持 |
| 后门检测 |
🔴 定制开发可能有 |
🟡独立应用《宝塔主机安全》 |
🟢 支持 |
| 人机、身份认证、等候室日志 |
🟢支持 |
🔴 就没有 |
🟡支持身份认证 |
| 攻击日志下载 |
🔴 不支持 |
🔴 不支持 |
🟢 支持 |
| 查看访问、错误日志 |
🟢 支持 |
🟢 支持 |
🟢 支持 |
| 攻击告警外发 |
🔴 不支持 |
🟡 api支持 |
🟡 api支持 |
| 多用户管理 |
🔴 不支持 |
🔴 不支持 |
🟢 支持 |
| ARM 架构部署 |
🟢 支持 |
🟢 支持 |
🟢 支持 |
| 可视化大屏 |
🔴 不支持 |
🟢 支持 |
🔴 不支持 |
| 高级安全态势统计 |
🔴 不支持 |
🟢 支持 |
🟢 支持 |
| 商用合规 |
🔴 不满足 |
🟢 满足 |
🟢 满足 |
| 生成周报月报 |
🔴 不支持 |
🔴 不支持 |
🔴 不支持 |
| 多用户权限管理 |
🔴 不支持 |
🔴 不支持 |
🟢 支持 |
| 管理员操作日志 |
🔴 不支持 |
🟢 支持 |
🟢 支持 |
| 网页防篡改 |
🔴 不支持 |
🔴 就没有 |
🔴 就没有 |
| 控制台单点登录 |
🔴 不支持 |
🔴 不支持 |
🔴 不支持 |
| 高可用部署 |
🔴 硬件有 |
🔴 不支持 |
🔴 定制开发可能有 |
| 应用缓存 |
🔴 不支持 |
🟢 支持 |
🟢 支持 |
| 集群部署 |
🔴 不支持 |
🔴 不支持 |
🔴 不支持 |
| 自动 Bypass |
🔴 硬件有 |
🔴 不支持 |
🔴 定制开发可能有 |
| 黑 IP/JA4 指纹威胁** |
🟡 社区威胁**+默认 |
🟡 自填写威胁**+默认 |
🟡 自填写威胁** |
| 软件性能 |
🟡 单线程模式(共用) |
🟢 无限制 |
🟢 无限制 |
| 应用/站点数量 |
🟡 最大10 |
🟢 无限制 |
🟡 最大10 |
| 售后支持 |
🔴 无 |
🟡 社区反馈支持 |
🟡 社区反馈支持 |
| 产品售卖价格 |
永久免费 |
永久免费 |
永久免费 |
1.2. 三大waf开源免费版一句话说明
- 雷池:小水管,共单核,最多800qps后无防护,无地区限制,有名,基本无报错,能在线下载ip组和规则适合小白护后门(不可商用)
- 堡塔:目前任然处于功能完善中,无限制,无ai全人工维护规则,逻辑和雷池差不多,适合多开应用服务不需要特别特别严格管理的场景,适合能研究下使用方法的小白(可商用)
- 南墙:不限性能,限制10个应用,有ai但不集成(需要商业部),可以自己写规则,界面挺简单,适合折腾虾(可商用)
2. 三大waf共性说明
2.1. 操作逻辑共性
flowchart TD
主界面--> 添加防护应用/服务/网站 --设置端口ip--> 防护设置 --> 保存开启代理;
全局设置--影响-->防护设置;
规则设置--影响-->防护设置;
主界面-->详细日志;
添加防护应用/服务/网站--> 详细日志;
2.2. 保护逻辑共性
flowchart TD
cdn/代理读取-->黑白名单 --> 地区限制 --> 自定义规则 --> cc防御 -->源服务器
3. 三者加密与防护对比
常规的漏洞防护就不写了,大家都有,没啥好比的,有的不写入表格是因为并非页面直观功能,且都能防御目录穿透
3.1. 雷池个人版
- 页面加密:能够加密http页面和js加密,就这一个功能就能拦截巨多的攻击,可以防止网页插入木马和很多攻击,同时提供xss攻击防护
- 小声bb:负责 JS 加密和HTML 动态防护是同一个组件,是通过识别变量名和函数名之类的进行加密,每次加密还都不一样
- 原始js
- 加密后的样子
- 后门检测:没有
- 入侵防护:没有
- 安全审计:专业版有
- 应用身份认证:不仅有,还有统一认证平台,还能单独审核
3.2. 堡塔
- 页面加密:没有加密,但通过规则来防止页面篡改
- 后门检测:单独应用宝塔主机防护
- 入侵防护:单独应用宝塔主机防护
- 安全审计:就一个账户,并且也没提供审计
- 应用身份认证:没这功能
3.3. 南墙
- 页面加密:没有加密,但通过规则来防止页面篡改
- 后门检测:有
- 入侵防护:没有
- 安全设计:有,但是用处不大
- 应用身份认证:没有,这就是为什么安全设置用处不大的原因
4. 额外介绍下我现用的网络架构
